2013-11-22(金) [長年日記]
■ 「DEFCON Japan 11月 ミーティング」に行ってきた
いつも、会社帰りの平日夜にこの手の勉強会に参加するとジャケットにネクタイ姿が浮くよなぁと思っていたので、私服で参加したら浮かなかった(たぶん)。逆に@wakatonoさんがすごい珍しくスーツ姿だったのでみんなからツッコミされまくっていたけど(笑)。
@hasegawayosukeさんは(いつもの)HTML5のセキュリティ関係の話かと思いきや、かつてユーザ側では対処のしようがない深刻なセキュリホールを3年も4年も放置していたMicrosoft(実体験にもとづく解説付き)が、最近はかなり素早い対処をするようになった話で(これはかなり実感ある)、モダンブラウザの「モダン」が仕様面でのモダンさだけでなく、セキュリティ意識のモダンさも持ち合わせていることを伺わせて面白かった。もっとも、どのブラウザも標準に準拠するようになったので違いが出にくく、バグハンターとしては面白くなさそうだった(笑)。これからのブラウザの脆弱性はWebとバイナリの境界に発生するだろう、との予言も。
Yuta HongoさんはAdobe Flashの是弱性を見つける話。JITコンパイル後のネイティブコードを予測してExploitコードを書くJIT sprayテクニックの発見によってここ数年FlashやJavaの脆弱性発見が増えている……という前振りから、最近の攻撃手法について解説。難しい……。でも、メモリ管理は自前でやるなという話に還元すれば、20~30年前から同じこと言われてるんだよな。プログラマ、進歩ないねぇ。まぁ、自前のメモリ管理抜きでJITコンパイラなんて書けないだろうけど。
ラスト、カスペルスキーの石丸さんの話はTweet禁止だったので詳しく書けないけど、標的型攻撃が被害企業内から出てこないので調査がなかなか進まないという話。その後質問タイムに@wakatonoさんからツッコミがあったけど、攻撃に本物の社内文書が使われてたら出しようがないわけで、難しいよなぁ。情報共有の仕組みが作られつつあるようだけど……。
